Firefox PDF Reader漏洞爆發(fā) 啟明星辰精確攔截
責(zé)編:admin |2015-08-25 18:39:20事件背景
近日,Mozilla基金會(huì)發(fā)布一個(gè)Firefox瀏覽器的安全更新,即CVE-2015-4495漏洞,該漏洞存在于Firefox瀏覽器內(nèi)置PDF閱讀器的pdf.js中,危險(xiǎn)級(jí)別為:高危。該漏洞允許攻擊者繞過同源策略,在本地文件上下文中植入遠(yuǎn)程執(zhí)行JavaScript代碼,該漏洞的利用代碼已經(jīng)在網(wǎng)絡(luò)中被大量散播。攻擊者們通過該漏洞,可以獲得本地文件的讀寫權(quán)限,然后可以進(jìn)一步將各類惡意代碼上傳到目標(biāo)主機(jī)上或者從目標(biāo)服務(wù)器上下載系統(tǒng)敏感文件,因此,我們建議使用Firefox火狐瀏覽器的用戶,盡快更新火狐版本(當(dāng)前最新版本為40.0.2),及時(shí)修改用戶密碼,目前,啟明星辰的多款安全產(chǎn)品可以有效檢測(cè)和精確防御Firefox瀏覽器最新漏洞所引發(fā)的安全事件,并提示廣大啟明星辰安全產(chǎn)品的用戶及時(shí)更新產(chǎn)品事件庫(kù)。
漏洞概要
如下是Mozilla官方的安全更新:https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/
品精確攔截Firefox-PDF-Reader最新漏洞555.png)
受影響系統(tǒng):
Mozilla Firefox < 39.0.3
Mozilla Firefox ESR < 38.1.1
Mozilla Firefox OS < 2.2
Firefox? PDF reader 在實(shí)現(xiàn)上存在安全漏洞,遠(yuǎn)程攻擊者利用此漏洞可繞過同源策略,讀取任意文件或獲取提升的權(quán)限,通過利用這個(gè)漏洞,攻擊者就可以向PDF閱讀器注入一個(gè)能夠搜索和上傳本地文件的腳本。如果目標(biāo)主機(jī)上運(yùn)行了這個(gè)帶有漏洞的火狐瀏覽器,那么這個(gè)漏洞就可以允許攻擊者從目標(biāo)計(jì)算機(jī)的硬盤驅(qū)動(dòng)器之中盜取用戶的敏感文件。而且這種攻擊方法可以用來攻擊Windows和Linux系統(tǒng)平臺(tái)的用戶。
目前網(wǎng)上已經(jīng)有了攻擊者改進(jìn)的用于Linux平臺(tái),Windows平臺(tái)的攻擊腳本,新添加了需要搜集的文件。此外,攻擊者還開發(fā)了用于Mac OS X操作系統(tǒng)的惡意代碼。
在本文中,我們僅對(duì)Linux系統(tǒng)下的攻擊細(xì)節(jié)展開介紹。
Exploit惡意腳本分析
Exploit惡意腳本觸發(fā)后會(huì)執(zhí)行setup_plugin函數(shù),該函數(shù)創(chuàng)建了IFRAME,在IFRAMELoad 函數(shù)中,生成了一個(gè)空的PDF Blob,當(dāng)Firefox將要利用內(nèi)置的PDF閱讀器打開這個(gè)PDF Blob時(shí),會(huì)執(zhí)行g(shù)et_sandbox_context函數(shù),該函數(shù)執(zhí)行時(shí)會(huì)在wrappedJSObject中創(chuàng)建一個(gè)新的sandboxContext屬性。此外,還將一個(gè)JavaScript函數(shù)寫入到了這個(gè)sandboxContext屬性中。后面的代碼將會(huì)調(diào)用這個(gè)函數(shù)。同時(shí),利用這些步驟就能夠成功地繞過同源策略。
1、惡意腳本首先執(zhí)行setup_plugin函數(shù),然后執(zhí)行start函數(shù)
品精確攔截Firefox-PDF-Reader最新漏洞1273.png)
Exploit腳本
品精確攔截Firefox-PDF-Reader最新漏洞1287.png)
Start函數(shù)
2、執(zhí)行setup_plugin函數(shù),該函數(shù)創(chuàng)建了IFRAME,在IFRAMELoad 函數(shù)中,生成了一個(gè)空的PDF Blob,當(dāng)Firefox將要利用內(nèi)置的PDF閱讀器打開這個(gè)PDF Blob時(shí),會(huì)調(diào)用get_sandbox_context函數(shù)
品精確攔截Firefox-PDF-Reader最新漏洞1423.png)
setup_plugin()函數(shù)
品精確攔截Firefox-PDF-Reader最新漏洞1444.png)
空的PDF Blob
3、get_sandbox_context函數(shù)執(zhí)行時(shí),之前生成的IFRAME中會(huì)被注入新的代碼,在wrappedJSObject中創(chuàng)建一個(gè)新的sandboxContext屬性。此外,還將一個(gè)JavaScript函數(shù)寫入到了這個(gè)sandboxContext屬性中。后面的代碼將會(huì)調(diào)用這個(gè)函數(shù)。同時(shí),利用這些步驟就能夠成功地繞過同源策略。
品精確攔截Firefox-PDF-Reader最新漏洞1625.png)
創(chuàng)建sandboxContext屬性的代碼
4、Exploit執(zhí)行Start函數(shù)后,將會(huì)列出本地文件目錄列表,造成信息泄露。
惡意腳本中列出本地文件目錄列表的代碼如下:
品精確攔截Firefox-PDF-Reader最新漏洞1714.png)
腳本中的目錄列表代碼
本地目錄列表被列出,效果如下圖:
品精確攔截Firefox-PDF-Reader最新漏洞1746.png)
Exploit執(zhí)行后列出本地文件目錄
對(duì)比試驗(yàn)機(jī)的本地目錄文件為:
品精確攔截Firefox-PDF-Reader最新漏洞1784.png)
本地目錄文件
5、Firefox中內(nèi)置的PDF閱讀器,默認(rèn)是啟用的,所以會(huì)引起該漏洞。如果將pdfjs.disabled設(shè)為true來禁用Firefox內(nèi)置的PDF閱讀器,則可以避免該漏洞造成的信息泄露。
品精確攔截Firefox-PDF-Reader最新漏洞1890.png)
Pdfjs默認(rèn)啟用
品精確攔截Firefox-PDF-Reader最新漏洞1904.png)
禁用Pdfjs
禁用Pdfjs后不再?gòu)棿氨镜匚募斜?/p>
品精確攔截Firefox-PDF-Reader最新漏洞1935.png)
禁用Pdfjs后不再?gòu)棿氨镜匚募斜?/p>
6、攻擊者獲得本地文件目錄后,然后可以讀取任意敏感文件,并將敏感文件發(fā)送到遠(yuǎn)程服務(wù)器。
產(chǎn)品報(bào)警展示:
目前我們的安全產(chǎn)品已經(jīng)可以報(bào)警并防御該漏洞。
入侵檢測(cè)類系列產(chǎn)品,精確檢測(cè)Firefox瀏覽器最新漏洞的截圖:
品精確攔截Firefox-PDF-Reader最新漏洞2068.png)
入侵防御類系列產(chǎn)品,精確防御Firefox瀏覽器最新漏洞的截圖:
品精確攔截Firefox-PDF-Reader最新漏洞2105.png)
下一代入侵防御類系列產(chǎn)品,精確檢測(cè)Firefox瀏覽器最新漏洞的截圖:
品精確攔截Firefox-PDF-Reader最新漏洞2146.png)
解決方案
1.我們建議購(gòu)買了上述啟明星辰信息安全產(chǎn)品的用戶,請(qǐng)升級(jí)到最新版本的事件庫(kù),可準(zhǔn)確攔截該樣本的漏洞攻擊行為。
2.建議Firefox用戶更新到最新版本,當(dāng)前版本是Firefox 39.0.3版本
3.用戶也可以通過將pdfjs.disabled設(shè)為true來禁用Firefox內(nèi)置的PDF閱讀器。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!